環境の変化に伴うサイバーリスクに備える “王道”なし
ネットワークを取り巻く環境の変化として、特に顕著なのはトラフィック量だ。総務省の調査では、国内主要IXにおけるトラフィックの量は2017年11月の時点で前年比約54%増となっており、企業のデータ流通量はやや古いデータながら2005年~9年間で9.3倍に増えている。
さらに顕著なのがモバイルトラフィックだ。2016年の時点で2020年までに8倍にも増加すると予測されており、IoTや5Gのモバイルデバイスの登場による影響を鑑みてのことと思われる。そして、小圷氏が最も注目するのは、暗号化トラフィックの増加量だ。既に2016年時点で70%が暗号化されており、Googleなどがhttpsサイトを優遇していることを考えると、その割合は更に高まることが予測される。
キーサイト・テクノロジー イクシアソリューショングループ マーケティングマネージャー 小圷 義之氏
そしてもう1つのトレンドとして挙げるのが、サイバー攻撃関連の通信の増加だ。NICTサイバーセキュリティ研究所の2017年の観測レポートによると、ダークネット観測および各種ハニーポットで捉えたサイバー攻撃関連通信は、2016年ころから急激に増加しており、こちらも引き続き増加傾向が止まらないと考えられる。
こうした環境下で、セキュリティリスクを軽減するにはどうしたらいいのか。その1つのガイドラインとして経済産業省が出している「サイバーセキュリティ経営ガイドラインバージョン2.0」がある。小圷氏は「対策に王道はない。できることを一つ一つ行っていくしかない」と語り、「まずは対応する仕組みを構築した上で、対策におけるPDCAサイクルを実施し、継続して対応していくことが重要」と強調した。
近年は「サイバーリスクは全て防御できるとは限らない」というのがトレンドだ。着弾後にいかに被害を小さくするか、その施策も求められる。つまり、セキュリティアーキテクチャを事前に「検証」してリスクを判断すること、「防御」効率を高めて運用性を改善すること、そしてトラフィックの「制御」でセキュリティ装置を最大限有効活用することの、3つのサイクルが重要になるというわけだ。
検証:セキュリティアーキテクチャの堅牢性をテスト
まずネットワークのセキュリティの「検証」について、小圷氏は3つのポイントを重視するという。まずネットワークの堅牢性やセキュリティ機器の性能を検証するだけでなく、ツールの傾向や使い方のクセなども見極め、組織に最適なセキュリティ要件を確認し、機器を選択することが大切だ。そして2つ目が巧妙化・高度化するサイバー攻撃への対処として、定期的にネットワークシステムを評価すること。そして3つめが様々な攻撃・侵入シナリオを理解し、対応するために、サイバーセキュリティ演習を実施することである。
小圷氏は具体的な検証項目として、ファイアウォールやDDoS対策装置、サンドボックスなどを挙げながら、「単にツールの機能・性能のチェックではなく、自社に合うかどうかの視点が重要」と語り、加えて近年のトレンドとして「ネットワーク内から外への情報流出リスクに対して“出口”の調査も重要」と指摘した。さらに検証のポイントとして「実ネットワークに相当するトラフィックの生成」「実際と同じアプリケーションプロトコルの再現」「多数の攻撃、マルウェア種類の再現」などを挙げ、「実際の環境・使用状況に合致した検証」が必要と強調した。
出所:「Security Online Day 2018」キーサイト・テクノロジー株式会社講演資料より[画像クリックで拡大表示]
さらに具体的なクライアント/サーバーのシミュレーションによるセキュリティ検証手法として、キーサイト・テクノロジーの製品「BreakingPoint」を用いた例を紹介。クライアントとサーバーの両方をシミュレーションして、正常なトラフィックと悪意のあるトラフィックの両方を流し、現実に即したトラフィックを生成するという。なお「不正トラフィック」におけるマルウェアやエクスプロイトなどの定義トラフィック数は約38,000あり、同社のATIリサーチセンター経由で2週間おきに更新される。また「正常トラフィック」については、ソーシャルや音声、動画、ウェブ、ビジネスアプリ、モバイルなど350以上になる。
これを具体的に検証すると、ブロック率や重要な脅威の検出状況などが見えてくる。たとえば「ブロック率は低いが重要な脅威はしっかり検出できている」など、それぞれの堅牢性が確認でき、改善策を考えられるというわけだ。また小圷氏はファイヤーウォール機器の検証から、求められる要件に応じて機器を選ぶ際の指針となることを紹介した。
防御:先回り防御でセキュリティ運用性を向上
次に「防御」についてだが、セキュリティの運用部門は大量のセキュリティアラートで追われているとされる。実際、米国のPonemon Instituteの大手企業を対象にした調査によると、週あたり受信する平均アラート数は16,937と多く、そのうち調査された割合は3割に満たないという。さらにセキュリティ侵害の検出に要する平均日数は170日と時間がかかることが報告されている。結果、脅威の見逃しや誤検知・重複検知の可能性もあり、それを補完しようとすると確認作業負荷は増大する一方だ。
そこでキーサイトでは、インターネットに流れているトラフィックを分析要・不要なものに分けて、必要な方の監視に専念するためのソリューションを用意している。それでは、分析が不要なトラフィックとは何か。すなわちハイジャックされ乗っ取られたIPアドレスや各種不正サイト、コントロールサーバーからの通信など。さらに特定国からのトラフィックも該当するだろう。それをIPフィルタリングで一気にブロックしようというわけだ。
出所:「Security Online Day 2018」キーサイト・テクノロジー株式会社講演資料より[画像クリックで拡大表示]
では、具体的にどのような形でIPフィルタリングを行なうのか。強力なIPフィルタリングツールを、ファイアウォールの前にインラインで設置し、分析不要なIPアドレスから来るトラフィックを先回りでブロックする。IPフィルタリングツールのアプライアンスの中に10分ごとに更新されるブラックリストが入っており、ファイヤーウォールの前に怪しいIPアドレスはブロックしてしまうというわけだ。一方、内部から不正なサイトにアクセスしようとした時も、IPフィルタリングツールを経由するためそこでブロックされる。
この方法のメリットについて、小圷氏は「分析不要な通信を丸ごと排除するため、脅威が複雑化しても負荷がかかりにくく効率化が図れる」と語る。また出口対策になるのに加え、不正IPからとなればSSL暗号化通信も遮断するため、SSL暗号化にマルウェアが仕込まれた場合にも対応が可能となる。
制御:トラフィック制御でセキュリティ装置の負担を減らし最大限に有効活用
そして3つめ、トラフィック制御についてだが、セキュリティにおいてなぜ必要なのか疑問に思う方もいるだろう。この場合の「制御」とは、トラフィックの取得漏れをなくすことと、複数のセキュリティツールに最適な形でトラフィックを転送すること、の2つの意味がある。まずトラフィックの取得漏れについては、トラフィックに潜む脅威の見逃しに直結しかねない。
トラフィックの「取得漏れ」が発生するケースとして、データ監視目的で利用されるSPANポートにおけるトラフィックのコピー漏れがある。その漏れたパケットに脅威が潜んでいる可能性があるというわけだ。そこにネットワークTAPを配置すれば漏れが生じることがない。
もう1つ、トラフィック制御のトピックスとして上るのが、ネットワーク構成の複雑化によるセキュリティ装置の負担増加である。SPANポートが不足したり、設定を行なう際に止める必要が生じたり、障害時には物理的な再配線が必要になることもある。
そこでキーサイトの提案は、SPANポートやネットワークTAPとセキュリティツールの間に、ネットワークパケットブローカーを導入するという方法だ。そうすることでネットワークがわかりやすく整理され、ツールの種類や帯域に対して柔軟に設置できるという。
「ネットワークパケットブローカー」の基本機能として小圷氏は次の4つを紹介した。まず、複数のSPANポートやタップからトラフィックを集約してモニタリングする「アグリゲーション」、一箇所のモニターポイントから取り込んだトラフィックをコピーして、複数のモニタリングツールへトラフィックを分配する「リジェネレーション」、あらかじめ指定した条件に従って振り分ける「フィルタリング」、そしてIP・MAC・ポートを使用したハッシュ関数により負荷分散が可能な「ロードバランシング」だ。これらの機能により、機器の処理負担を軽減し、多重防御や冗長性などが確保できるという。
出所:「Security Online Day 2018」キーサイト・テクノロジー株式会社講演資料より[画像クリックで拡大表示]
なお、近年の動向として小圷氏は「これまでは物理環境がメインの話だったが、近年ではプライベートクラウドを用いた仮想化環境やAWSなどパブリッククラウドの活用などが増えており、そのなかでもトラフィックを制御したいというニーズは高まっている。そこで当該のソリューションもSaaSアプリとして提供しており、問い合わせが増えてきた」と語る。
そして改めて、「ネットワークセキュリティにおいてトラフィック管理は不可欠になってくる。ぜひ検証>防御>制御のサイクルを継続的に回し、リスク軽減を実現することを考えてほしい」と語り、セッションのまとめとした。
